「BIND 9」にリモートから悪用可能な複数の脆弱性
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(システムリソースの過度な消費)について (CVE-2019-6477) - フルリゾルバー(キャッシュDNSサーバー)/ 権威DNSサーバーの双方が対象、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2019/11/21(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からの攻撃が 可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により namedが動作するサーバーのシステムリソースが過度
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止・異常な動作)について (CVE-2020-8617) - フルリゾルバー(キャッシュDNSサーバー)/ 権威DNSサーバーの双方が対象、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2020/05/20(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図しないサービ
ISC BIND 9 の脆弱性に関する注意喚起
JPCERT-AT-2019-0043 JPCERT/CC 2019-11-21(新規) 2019-12-06(更新) I. 概要ISC BIND 9 には、TCP パイプラインに関する脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって、システムリソースを過度に消費し、結果として named が一時的に停止したり、サービスの品質の低下が発生する可能性があります。なお、ISC は、脆弱性 CVE-2019-6477 に対する深刻度を「中 (Medium)」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。 Internet Systems Consortium, Inc. (ISC) CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit https://kb.isc.or
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行) について(CVE-2020-8625) - GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2021/02/18(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からの攻撃が 可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により、 提供者が意図しないサービスの停止や、リモートコード実行が可能にな
JPCERT-AT-2020-0035 JPCERT/CC 2020-08-21 I. 概要ISC BIND 9 には、複数の脆弱性があります。脆弱性が悪用されると、遠隔の第三者によりサービス運用妨害 (DoS) などが引き起こされる可能性があります。 ISC は、脆弱性 CVE-2020-8620、CVE-2020-8621、CVE-2020-8622、CVE-2020-8623 に対する深刻度を「中 (Medium)」、CVE-2020-8624 に対する深刻度を「低 (Low)」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。 Internet Systems Consortium, Inc. (ISC) CVE-2020-8620: A specially crafted large TCP payload can trigger an assertio
ISC BIND 9の複数の脆弱性に関する注意喚起
JPCERT-AT-2021-0021 JPCERT/CC 2021-04-30 I. 概要ISC BIND 9には、複数の脆弱性があります。脆弱性が悪用されると、遠隔の第三者がnamedの異常終了やリモートコード実行などを引き起こす可能性があります。 ISCは、脆弱性CVE-2021-25215とCVE-2021-25216に対する深刻度を「高(High)」、脆弱性CVE-2021-25214に対する深刻度を「中(Medium)」と評価しています。脆弱性の詳細はISCの情報を確認してください。 Internet Systems Consortium, Inc.(ISC) CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly http
【セキュリティ ニュース】「BIND 9」にアップデート - DoS脆弱性4件を修正(1ページ目 / 全1ページ):Security NEXT
Internet Systems Consortium(ISC)は、DNSサーバ「BIND 9」のアップデートをリリースした。脆弱性やバグの修正などを行っている。 「BIND 9.20.0」「同9.18.28」において、リモートより悪用が可能である4件の脆弱性に対処したことを明らかにしたもの。アドバイザリを公開した時点で、いずれも悪用は確認されていないという。 具体的には、TCP経由で悪意あるクライアントより多数のDNSメッセージを受信した際に動作が不安定となり、サービス拒否に陥るおそれがある「CVE-2024-0760」を修正。 同じホスト名に対して多数のリソースレコードを持つ権威DNSサーバやキャッシュDNSサーバにおいて、クエリの処理速度が約100倍遅くなるおそれがある「CVE-2024-1737」に対応した。 さらにDNSSECにおいて、「SIG(0)」署名が付いたリクエストを送信
【セキュリティ ニュース】「BIND 9」の脆弱性、関連機関がアップデートを強く推奨(1ページ目 / 全1ページ):Security NEXT
「BIND 9」に複数の脆弱性が明らかとなった問題を受け、関連機関からもアップデートが強く推奨されている。 重要度が「高(High)」とされるサービス拒否の脆弱性「CVE-2024-0760」「CVE-2024-1737」「CVE-2024-1975」「CVE-2024-4076」が判明。 Internet Systems Consortium(ISC)では、これら脆弱性を解消したアップデート「同9.20.0」「同9.18.28」をリリースした。 日本レジストリサービス(JPRS)では、いずれの脆弱性も「緊急」としており、「権威DNSサーバ」「キャッシュDNSサーバ」のいずれもアップデートを強く推奨している。 またアップデートがリリースされたことを受け、日本ネットワークインフォメーションセンター(JPNIC)や、JPCERTコーディネーションセンターなども情報提供を行っている。 (Secu
【セキュリティ ニュース】「BIND 9」にサービス拒否の脆弱性 - アップデートを(1ページ目 / 全1ページ):Security NEXT
「BIND 9」において、サービス拒否が生じる脆弱性が明らかとなった。権威DNSサーバ、キャッシュDNSサーバのいずれも影響を受けるという。 問題の脆弱性「CVE-2019-6477」は、リモートより悪用されるおそれがある脆弱性。リソースを過度に消費し、サービス拒否やサービスの品質低下を引き起こす可能性がある。重要度は4段階中3番目にあたる「中(Medium)」。 複数のDNSトランザクションの並列処理する「Query Pipelining」の処理に起因するもので、4月に修正された「CVE-2018-5743」への対応で、同時接続数の制限が機能しなくなる状態が生じたという。「Query Pipelining」は、デフォルトで有効となっており、注意が必要だ。 Internet Systems Consortium(ISC)では、脆弱性へ対処した「同9.14.8」「同9.11.13」をリリース
【セキュリティ ニュース】「BIND 9」のセキュリティアップデートが公開 - 「NXNSAttack」などに対応(1ページ目 / 全1ページ):Security NEXT
Internet Systems Consortium(ISC)は、「BIND 9」における複数の脆弱性を解消したアップデートをリリースした。関係機関では早急に対応するよう求めている。 DNSにおける権威サーバの委任を悪用したリフレクション攻撃「NXNSAttack」について論文が発表され、BINDにおいても踏み台として悪用されるおそれがある脆弱性「CVE-2020-8616」が判明したもの。 さらにリモートからの攻撃でサービス拒否が生じるおそれがある脆弱性「CVE-2020-8617」が明らかとなった。権威DNSサーバ、リゾルバの双方が影響を受ける。 ISCではこれら脆弱性へ対処した「BIND 9.16.3」「同9.14.12」「同9.11.19」をリリース。脆弱性の判明を受け、関係機関では注意喚起を実施しており、日本レジストリサービス(JPRS)では、利用者に対し、アップデートを強く推
ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。 CVE-2020-8616、CVE-2020-8617 ともに、以下のバージョンが影響を受けます。 BIND 9.16.0 から 9.16.2 BIND 9.14.0 から 9.14.11 BIND 9.12.0 から 9.12.4-P2 BIND 9.11.0 から 9.11.18 BIND Supported Preview Edition 9.9.3-S1 から 9.11.18-S1 まで なお、開発版の BIND 9.13 系、9.15 系、9.17 系、すでにサポートが終了している BIND 9.0 系から 9.10 系、9.10-S 系、9.12 系、9.13 系も影響を受けます。
JPCERT-AT-2021-0010 JPCERT/CC 2021-02-18 I. 概要ISC BIND 9には、SPNEGO実装におけるバッファーオーバーフローの脆弱性(CVE-2020-8625)があります。SPNEGOは、GSS-TSIGに基づく鍵交換で使用されるGSS-APIにおいて認証メカニズムを提供しています。本脆弱性が悪用されると、遠隔の第三者がサービス運用妨害(DoS)などを引き起こす可能性があります。 ISCは、本脆弱性に対する深刻度を「高(High)」と評価しています。脆弱性の詳細については、ISCの情報を確認してください。 Internet Systems Consortium, Inc. (ISC) CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be
--------------------------------------------------------------------- ■BIND 9.xの脆弱性(mirror zones機能におけるDNSSEC検証のバイパス) について(CVE-2019-6475) - mirror zones機能を設定している場合のみ対象、バージョンアップを推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2019/10/17(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からの攻撃が 可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により、 namedにおいてmirror zones機能を設
【セキュリティ ニュース】「BIND 9」に複数脆弱性 - 影響範囲広く緊急対応を(1ページ目 / 全2ページ):Security NEXT
Internet Systems Consortium(ISC)は、現地時間2月13日にDNSサーバ「BIND 9」のセキュリティアップデートをリリースした。一部脆弱性は影響範囲が広く、クエリ、応答のいずれにおいても悪用が可能であるとして関連機関から緊急で対策を講じるよう注意喚起が行われている。 脆弱性によって影響を受ける利用環境やバージョンは異なるが、あわせて7件の脆弱性が明らかとなった。 重要度が「クリティカル(Critical)」とされる脆弱性は含まれていないが、「CVE-2023-4408」「CVE-2023-5517」「CVE-2023-5679」「CVE-2023-6516」「CVE-2023-50387」「CVE-2023-50868」の6件については、上から2番目にあたる「高(High)」とレーティングされている。 DNSメッセージの解析に不備があり、細工したクエリや応答に
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-50387) - バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2024/02/14(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からの攻撃が 可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により namedにおいて過剰なCPU負荷が誘発され、結果としてサービスの停止や品質 低下などが発生する可能性があります。 該当するBIND 9
【セキュリティ ニュース】「BIND 9」に5件の脆弱性 - 一部脆弱性は公開済み(1ページ目 / 全1ページ):Security NEXT
DNSサーバの「BIND 9」に5件の脆弱性が明らかとなった。アップデートがリリースされている。 バージョンによって影響を受ける脆弱性は異なるが、4段階中3番目にあたる「中(Moderate)」とされる脆弱性4件や、「低(Low)」とされる1件など、あわせて5件が明らかとなった。 重要度が「中」とされる脆弱性は、「native-pkcs11」を有効化している場合に、細工したリクエストでクラッシュするおそれがある「CVE-2020-8623」や、不完全なTSIG署名の応答を確認した際にアサーションエラーが生じるおそれがある脆弱性「CVE-2020-8622」など、いずれもサービス拒否を引き起こすおそれがある。悪用は確認されていないが、リモートから悪用されるおそれがある。 またサブドメインの更新ポリシーが、「zonesub」のゾーン内すべてに対して適用される脆弱性「CVE-2020-8624」
--------------------------------------------------------------------- ■(緊急)BIND 9.16.19の脆弱性(DNSサービスの停止)について (CVE-2021-25218) - BIND 9.16.19のみが対象、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2021/08/19(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.16.19における実装上の不具合により、namedに対する外部からのサー ビス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されまし た。本脆弱性により、提供者が意図しないDNSサービスの停止が発生する可能 性があ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
(緊急)BIND 9.xの脆弱性(システムリソースの過度な消費)について(CVE-2019-6477)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止・異常な動作)について (CVE-2020-8617)
「BIND 9」にサービス運用妨害の脆弱性、アップデートを
「BIND 9」に2件の脆弱性、namedに対するDoS攻撃が可能
(緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行) について(CVE-2020-8625)
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
「BIND 9」にサービス運用妨害の脆弱性、最新版へのアップデートを呼び掛け
JVNVU#92065932: ISC BIND 9 に複数の脆弱性
ISC BIND 9の脆弱性(CVE-2020-8625)に関する注意喚起
BIND 9.xの脆弱性(mirror zones機能におけるDNSSEC検証のバイパス)について(CVE-2019-6475)
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-50387) - バージョンアップを強く推奨 -
(緊急)BIND 9.16.19の脆弱性(DNSサービスの停止)について (CVE-2021-25218)